В канун предновогодних распродаж в России как никогда стала актуальна проблема мошеннической схемы "Мамонт". За годы существования "Мамонт" эволюционировал и предстал перед россиянами в новой форме. Если раньше мошенники заманивали людей на фейковые сайты и там обчищали их банковские карты, то теперь злоумышленники пошли еще дальше: они массово заманивают жертв в мобильные приложения с вирусами, которые не только автоматически потрошат банковские счета жертв, но и загоняют их в кредиты.
"Газета.Ru" рассказывает как появился "Мамонт", приводит примеры его новых проявлений, а также описывает способы защиты от этой схемы.С кем имеем дело
Мошенники, называя свою схему "Мамонт", скорее всего, руководствовались не палеонтологическим интересом, а народной присказкой "лох – не мамонт, лох не вымрет". Это распространенное выражение у воров, которые хотят облапошить как можно больше людей. Оно означает, что лохи всегда были и будут, поэтому деятельность мошенников всегда будет оставаться прибыльной.
Схема это довольно старая – ее обнаружили еще в 2019 году, а потом в 2020-м описали специалисты компании Group-IB, которая сейчас называется F.A.C.C.T. На тот момент схему еще часто называли "Курьер".
Скамеры (от английского слова scam – мошенничество, – "Газета.Ru") создавали на сайтах с частными объявлениями, страницы популярных товаров с низкими ценами, в переписке выманивали жертву в WhatsApp, Telegram или Viber и там присылали ей ссылку на оплату.
По ссылке открывался фейковый сайт какой-нибудь популярной курьерской службы с формой для ввода данных банковской карты, жертва их вводила для подтверждения покупки, но теряла деньги. Ведь под интерфейсом сайта якобы курьерской службы был спрятан банковский сервис Card2Card для перевода денег с карты на карту.
То есть жертва ничего не покупала, а просто переводила деньги хакеру. Собственно, из-за использования брендов популярных курьерских служб схема поначалу и называлась – "Курьер".
В 2020 году грянула пандемия COVID-19 и доставка всего, чего только можно на дом, стала актуальна как никогда. Схема "Курьер" распространялась по России со скоростью опасного вируса. К счастью, сами платформы для публикации частных объявлений (так называемых классифайдов) начали активно бороться со скамерам. В этот момент "Курьер" окончательно уступил место "Мамонту" – злоумышленники взяли в оборот не только сайты с объявлениями, но и сайты по продаже автомобилей, аренды квартир, поиска попутчиков и не только.
Суть схемы не менялась – мошенники ловили жертву на официальном сервисе по продаже или аренде чего бы то ни было, выманивали в мессенджер и присылали фейковую страницу оплаты.
К 2021 году схема распространилась почти по всему миру: ее начали использовать против жителей Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана. Быстрому распространению схемы способствовали низкий порог входа в ее экосистему, а также высокие доходы.
В начале 2021 году в даркнете действовало несколько десятков группировок, во главе каждой из которых стоял главарь, админ. Админ придумывал скрипты (сценарий, по которому с жертвой должен работать мошенник – "Газета.Ru"), а также разрабатывал и поддерживал в рабочем состоянии фейковые сайты и платежные страницы для приема денег "мамонтов". Далее админ в даркнете или Telegram нанимал так называемых "воркеров" - тех самых мошенников, которые создают фейковые объявления на сайтах, находят и обрабатывают жертв.
По данным F.A.C.C.T., в моменте в 40 закрытых чатах в Telegram действовало более 5 тыс. воркеров. В день одна группировка генерировала прибыль до 200 тыс. руб., в месяц – миллионы рублей. Воркерам доставалась большая часть прибыли – до 80%.
Со временем данный бизнес стал настолько развит, что на входе воркер за деньги или бесплатно получал: аккаунты на сайтах с объявлениями, подставные номера телефонов и даже доступ к адвокату, который готов заступиться за скамера в суде.
Новый "Мамонт"
Схема имела столь высокую эффективность, что злоумышленники не только не забросили, но и усовершенствовали "Мамонта". Кроме того, они масштабировали свою работу. Так, согласно последнему исследованию компании F.A.C.C.T., на 1 ноября 2024 года только против России и СНГ действовало 16 группировок, использующих схему "Мамонт", состав которых насчитывал более 20 тыс. киберпреступников. За последний год они украли у россиян более миллиарда рублей.
По данным МВД России, в 2024 году случилось "возрождение" схемы "Мамонт" среди киберпреступников. В силовом ведомстве назвали "Мамонт" одним из главных трендов киберпреступности года. Особенно явной данная проблема стала в начале сезона предновогоднего шопинга. Одним из главных ноу-хау работающих с этой схемой злоумышленников стало использование вредоносного ПО (ВПО), которое после запуска на устройстве жертвы, по сути, делает всю грязную работу за мошенника. ВПО доставляется на смартфон жертвы вместе с приложением, ссылку на скачивание которого подсовывают злоумышленники.
"Спрятанная в приложении шпионская программа может перехватывать вводимые данные банковской карты и входящие SMS-коды для кражи денег со счетов клиентов российских банков", – гласит заявление МВД России.
Приложения, в котором прячется вирус, бывают разными. Например, в МВД приводят в пример фейковые клиенты классифайдов. Мошенники убеждают россиян скачать .apk (установочный файл приложения для Android – "Газета.Ru") под предлогом совершения безопасной сделки.
В свою очередь в F.A.C.C.T. знают о примерах, когда жертве предлагали скачать фейковое приложение логистической компании. Якобы для отслеживания посылки.
"Если год назад пользователю предлагалось сначала перейти по ссылке на фейковый GooglePlay, чтобы скачать вредоносный файл .apk, то сейчас его предлагают скачать сразу на странице оплаты фейкового заказа. Итог плачевный: приложение дает злоумышленникам возможность не только вывести со счетов жертвы все имеющиеся деньги, но и вдобавок оформить на нее кредиты для последующего хищения", – заявили в компании.
Приемы против лома
Главным средством защиты от мошеннических атак является соблюдение правил цифровой гигиены. Не менее важно проявлять и трезвый рассудок: нужно всегда держать в голове мысль о том, что очень выгодные предложения всегда требуют проверки. Ведь именно на этапе купли-продажи мошенники и находят своих жертв.
Так, имея дело с продавцом на любой платформе, будь-то маркетплейс, классифайд, сайт для аренды жилья и так далее, ни в коем случае нельзя переводить переписку с сайта или приложения сервиса в мессенджеры или соцсети. На сайтах и в приложениях перечисленных сервисов действуют защитные алгоритмы, которые блокируют опасные ссылки и файлы.
Если предложение о выгодной покупке чего-либо поступило в виде e-mail, а также сообщения в соцсетях или мессенджера, его стоит игнорировать. Даже если отправитель называет бренд известной компании или представляется ее сотрудником.
В противном случае, нужно сравнить предоставленную ссылку с адресом официального ресурса компании – скорее всего, в полученной ссылке будет опечатка. К тому же не лишним будет поискать информацию об акции или скидке в интернете – с высокой долей вероятности будет обнаружен отзыв "покупателя", который уже попался на уловку злоумышленников и потерял деньги.
Иногда ссылки на выгодные предложения приходят от знакомых контактов в соцсетях или мессенджере. Перед тем как открывать их, стоит перезвонить человеку и удостовериться, что его профиль в соцсети или мессенджере не был взломан.
Стоит отметить, что простые граждане – не единственная сила, которая борется со злоумышленниками, использующими схему "Мамонт". Бренды, от имени которых действуют скамеры, также страдают и противостоят им. Как правило, они используют системы превентивного обнаружения доменов для фейковых сайтов. Последнее время в этом деле участвуют даже нейросети, – они почти мгновенно обнаруживают новые домены и уведомляют о них владельцев брендов, что позволяет блокировать вредоносные ресурсы до того, как они начнут использоваться.
Позитивно для россиян сказалось и то, что Telegram начал раскрывать правоохранительным органам IP-адреса и номера телефонов нарушителей правил мессенджера.
В их число попадают и мошенники, которые используют Telegram для коммуникации, а также распространения рекламы "работы" и необходимых для свершения злодеяний инструментов. Это решение администрации мессенджера отпугнула пользователей схемы "Мамонт": по данным F.A.C.C.T., спустя четыре недели, спустя анонса новой политики, доходы 70% мошеннических групп сократились в среднем на 22%.
Однако эксперты по информационной безопасности предупреждают, что последняя мера Telegram лишь на время замедлит действия злоумышленников. Ведь они уже активно создают форумы в даркнете и рекламные сайты своих реферальных программ в клирнете. Все это говорит только о том, что в ближайшее время "Мамонт" точно не "вымрет".
"Тот факт, что мошенники и другие киберпреступники сейчас уходят из Telegram, никак не гарантирует снижения количества преступлений. Злоумышленники просто переносят коммуникацию на другие платформы, в том числе, в дракнет, где изначально и общались до Telegram", – сказал "Газете.Ru" руководитель департамента расследований T.Hunter Игорь Бедеров.
Свежие комментарии